解析P2P⾦金融安全

关于我

乌云⽩白帽⼦子安全爱好者安全防御研究2012-2015 当当⺴⽹网 ⺴⽹网信⾦金融2015-今 万达电商

互联⺴⽹网⾦金融及P2P简介

P2P⽇日常安全解析

P2P业务安全解析

1

2

3

01互联⺴⽹网⾦金融及P2P简介

精彩回顾

互联⺴⽹网巨头 众安在线

⾦金融⼤大佬

创新玩家

互联⺴⽹网⾦金融三类玩家

P2P介绍

渠道、平台

融资⽅方投资者

直接对接

• ⾦金融机构• ⺴⽹网站平台

提供服务

特⾊色：1. 投资者直接与融资⽅方签约2. 融资⽅方的资质与项⺫⽬目透明3. 通过借贷⽅方式获得收益，简单直接

4. 投资者所需⾦金融相关专业知识要求⾼高

• 担保公司• 咨询公司

中介机构

P2P介绍

线上电商

⾦金融理财

⼿手机钱包

消费⾦金融

众筹

商户⾦金融

钓⻥鱼⺴⽹网站

⼿手机⽊木⻢马

电脑病毒

⿊黑客攻击⺴⽹网站

洗钱

⿊黑客盗卡、盗号

磁卡侧录、克隆

内外勾结

⼈人为操作失误

客户恶意欺诈 ⼿手机被盗

SIM卡克隆

商户移机

⾮非法套现

营业员盗号、盗PIN

商户套码

客户信息外泄

短信拦截

投资标的失败

投资标的违约

逾期违约

系统设计漏洞流程缺陷

监管合规压⼒力

合作⾦金融机构违约

经济环境波动系统崩溃

互联⺴⽹网⾦金融 =互联⺴⽹网 ⾦金融 +⻛风险 ⻛风险 ⻛风险

互联⺴⽹网安全⻛风险所有的互联⺴⽹网⺴⽹网站都⾯面临的安全⻛风险，如DDOS、web漏洞、密码破解、钓⻥鱼等等；如何在快速迭代开发过程中保证web安全；接⼝口⻛风险，如⽀支付、合作伙伴、认证接⼝口等；IDC、服务器、数据库、线路等基础设施的安全⻛风险。

⾦金融安全⻛风险• 资⾦金与⽀支付⻛风险；• ⽤用户⾝身份仿冒、欺诈、套利、洗钱；• ⼿手机与APP⻛风险；• 内控与合规⻛风险；• 敏感信息泄露⻛风险。

02P2P⽇日常安全解析

GITHUB

集团/边界

DDOS

03P2P业务安全解析

1注册 2绑卡 3充值 4购买理财 5回收资⾦金

P2P业务流程

1注册

关键词：⽺羊⽑毛党

分⼯工明确

妇⼥女，学⽣生居多

⾃自给⾃自⾜足

电话基本⽆无法接通

打码平台

内外勾结

银⾏行------⽺羊⽑毛党

⽺羊⽑毛党------平台

对应办法

最主要的是从业务⾓角度防套利，不能让⼈人“空⼿手套⽩白狼”；

⽺羊⽑毛党⼼心态 ：防⽌止被平台反撸 减少收益，提⾼高收益⻔门槛

⼈人⼯工识别（客服挂电话）

机器识别

⼤大数据应⽤用

1注册2绑卡

验证姓名与⾝身份证号:利⽤用公安部接⼝口校验⾝身份证信息

绑卡阶段:银⾏行预留姓名

对应办法

四要素验证 :⾝身份证，银⾏行预留⼿手机，姓名 ，银⾏行卡号

⼩小额打款验证

1注册2绑卡3充值

⽀支付漏洞

同卡进出

资⾦金闭环

对账系统

5回收资⾦金

1注册2绑卡3充值4购买理财

1注册2绑卡3充值4购买理财

充值 投资 回款 提现注册/登录

•查看项⺫⽬目•选择投资•签署协议

•查看已投项⺫⽬目

•查看回款计划

•回款通知

•⼿手机验证•⾝身份验证

•申请提现•银⾏行卡到账

•绑定银⾏行卡

•通过第三⽅方⽀支付⼯工具账户充值

• 正常的⽤用户⾏行为：

1注册2绑卡3充值4购买理财

编辑资料注册/登录

• 异常的⽤用户⾏行为：

编辑资料 编辑资料 编辑资料

钓⻥鱼

攻击成本分析：构建⺴⽹网站成本+法律⻛风险成本（？）某银⾏行⺴⽹网银⽤用户总量m（ ⼏几百万-3000万）⼿手机⽤用户总量n（ 5亿个⼿手机）上当的概率p（ 万分之⼀一）⼀一条短信价格a（ 5分）钓⼀一条⻥鱼成本

X=a/(p*m/n)+？

信息泄露----钓⻥鱼

Tankyou !